Acerca de operadores lógicos
Comunicación de la Comisión Directrices relativas a los informes de auditoría anuales que deben presentarse de conformidad con el artículo 15, apartado 8, de la Directiva 2014/40/UE en el contexto del sistema de trazabilidad de la UE para los productos del tabaco 2020/C 167/01, - Diario Oficial de la Unión Europea, de 15-05-2020
GPT Iberley IA
Copiloto jurídico
Ambito: DOUE
Órgano emisor: COMISION EUROPEA
Boletín: Diario Oficial de la Unión Europea Número 152
F. Publicación: 15/05/2020
COMUNICACIÓN DE LA COMISIÓN
Directrices relativas a los informes de auditoría anuales que deben presentarse de conformidad con el artículo 15, apartado 8, de la Directiva 2014/40/UE en el contexto del sistema de trazabilidad de la UE para los productos del tabaco
(Texto pertinente a efectos del EEE)
(2020/C 167/01)
CLÁUSULA DE EXENCIÓN DE RESPONSABILIDAD: El presente documento tiene por objeto proporcionar orientación a los auditores autorizados sobre el alcance de la auditoría y el procedimiento de presentación del informe de auditoría anual. No es jurídicamente vinculante, pero establece directrices generales con recomendaciones y refleja las mejores prácticas. Estas directrices se entienden sin perjuicio de las normas nacionales.
1. Introducción
El artículo 15 de la Directiva 2014/40/UE del Parlamento Europeo y del Consejo (1) dispone el establecimiento de un sistema de trazabilidad de los productos del tabaco a escala de la UE a fin de abordar la cuestión del comercio ilícito. Este sistema se puso en marcha el 20 de mayo de 2019.
En el marco de dicho sistema, el artículo 15, apartado 8, de la Directiva 2014/40/UE exige a los Estados miembros que se aseguren de que los fabricantes y los importadores de productos del tabaco celebren contratos de almacenamiento de datos con una tercera parte independiente («proveedor tercero») con el fin de albergar la instalación para el almacenamiento de los datos relativos a los productos del tabaco de los diferentes fabricantes e importadores («repositorio primario»).
Para salvaguardar el funcionamiento independiente del sistema de trazabilidad, el artículo 15, apartado 8, de la Directiva 2014/40/UE establece que un auditor externo supervisará las actividades del repositorio primario y de su proveedor tercero. El auditor será propuesto y pagado por el fabricante de productos del tabaco y aprobado por la Comisión. El auditor externo presentará su evaluación, mediante un informe anual, a las autoridades nacionales competentes y a la Comisión, y evaluará en particular cualquier irregularidad en relación con el acceso.
El objetivo del presente documento es orientar a los auditores autorizados sobre el alcance de la auditoría y el procedimiento de presentación del informe de auditoría anual. Debe leerse en relación con el Reglamento de Ejecución (UE) 2018/574 de la Comisión (2), que establece los requisitos técnicos para el establecimiento y el funcionamiento del sistema de trazabilidad, incluidos los repositorios primarios, y con el Reglamento Delegado (UE) 2018/573 de la Comisión (3), que define los elementos clave de los contratos de almacenamiento de datos que deben celebrarse como parte de un sistema de trazabilidad.
El presente documento se ofrece como herramienta para ayudar a los auditores autorizados; proporciona directrices no vinculantes que no crean nuevas obligaciones jurídicas. En la medida en que estas directrices puedan interpretar legislación, la posición de la Comisión se entiende sin perjuicio de cualquier interpretación de esta Directiva que pueda realizar el Tribunal de Justicia de la Unión Europea.
2. Contexto general de las auditorías
Cada repositorio primario contratado por un fabricante está sujeto a un proceso de auditoría anual. En caso de que el mismo proveedor tercero gestione dos o más repositorios primarios, debe efectuarse una auditoría separada y presentarse un informe de auditoría independiente para cada repositorio.
La auditoría debe efectuarse en relación con el repositorio primario y sus servicios conexos y debe incluir una evaluación de si el proveedor tercero respectivo y, en su caso, sus subcontratistas cumplen los requisitos legislativos pertinentes establecidos en la Directiva 2014/40/UE, el Reglamento de Ejecución (UE) 2018/574 y el Reglamento Delegado (UE) 2018/573.
Cada fabricante o importador deberá notificar a la Comisión el auditor que propone para auditar su repositorio primario y el proveedor tercero respectivo. Todos los auditores propuestos deberán ser aprobados por la Comisión.
3. Alcance de la auditoría
Alcance y objetivo
Deben presentarse informes de auditoría con el fin de informar a las autoridades nacionales competentes y a la Comisión sobre las conclusiones de los auditores, en particular en relación con cualquier irregularidad en el acceso a los datos almacenados en los repositorios primarios.
Los informes de auditoría deben dedicar capítulos específicos a cada uno de los seis ámbitos que figuran a continuación. Cada capítulo debe abordar los controles del ámbito respectivo, según se enumeran en la lista de comprobación que figura en el anexo.
Las auditorías deben realizarse de acuerdo con dicha lista de comprobación, que establece los ámbitos y los controles requeridos en consonancia con la norma ISO/IEC 27001:2013, sobre Sistemas de Gestión de la Seguridad de la Información (4). Para ello, los auditores deben tener en cuenta que el artículo 10 del Reglamento Delegado (UE) 2018/573 de la Comisión menciona la norma ISO/IEC 27001:2013 como norma preferida en materia de gestión de la seguridad de la información en el contexto de la gestión de repositorios primarios.
| Ámbito | Objetivos |
| Seguridad organizativa y física | Establecer un marco de gestión para la seguridad de la información dentro de la organización. Garantizar que los empleados y los contratistas entiendan sus responsabilidades y sean adecuados para las funciones para las que se consideran. Prevenir el acceso físico no autorizado, los daños o interferencias a la información de la organización y a los recursos de tratamiento de la información. Evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organización. |
| Seguridad de las operaciones | Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información. Proteger contra la pérdida de datos. Registrar eventos y generar evidencias. Asegurar la integridad de los sistemas operativos. Evitar la explotación de las vulnerabilidades técnicas. |
| Control de acceso (usuarios y aplicaciones) | Limitar el acceso a la información y a los recursos de tratamiento de la información. Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios. Conseguir que los usuarios se hagan responsables de salvaguardar su información de autenticación. Prevenir el acceso no autorizado a los sistemas y aplicaciones. Garantizar que la seguridad de la información se haya diseñado e implementado en el ciclo de vida de desarrollo de los sistemas de información. |
| Seguridad de las comunicaciones | Garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información. Asegurar la protección de la información en las redes y los recursos de tratamiento de la información. Mantener la seguridad de la información que se transfiere dentro de la organización y cualquier entidad externa. |
| Continuidad de negocio | Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluida la comunicación de eventos de seguridad y debilidades. La continuidad de la seguridad de la información formará parte de los sistemas de gestión de la continuidad de negocio de la organización. Asegurar la disponibilidad de los recursos de tratamiento de la información. Evitar incumplimientos de las obligaciones legales, estatutarias, reglamentarias o contractuales relativas a la seguridad de la información y de los requisitos de seguridad. |
| Activos e integridad de los datos | Identificar los activos de la organización y definir las responsabilidades de protección adecuadas. Asegurar que la información reciba un nivel adecuado de protección. Evitar la revelación, modificación, eliminación o destrucción no autorizadas de la información almacenada en soportes. |
Conclusiones y recomendaciones
Deben presentarse conclusiones de auditoría para cada uno de los controles enumerados en la lista de comprobación.
Un informe de auditoría solo debe destacar y explicar las conclusiones relativas a problemas de incumplimiento u otros riesgos detectados. Las conclusiones también deben ir acompañadas de las oportunas recomendaciones en las que se expongan las acciones necesarias para subsanar los problemas y deficiencias detectados durante la auditoría.
4. Aspectos procedimentales
Frecuencia
Los auditores deben presentar sus informes de auditoría cada año. Dado que el sistema de trazabilidad se puso en marcha el 20 de mayo de 2019, se invita a los auditores a presentar sus primeros informes de auditoría anuales, que abarcarán el primer año de funcionamiento del sistema de trazabilidad (es decir, desde el 20 de mayo de 2019 hasta el 19 de mayo de 2020), a más tardar el 30 de noviembre de 2020. A partir de entonces, se invita a los auditores a presentar informes anuales correspondientes a los siguientes años operativos al final de octubre de cada año civil.
Seguimiento de la auditoría
Cuando se realice un seguimiento para evaluar si el proveedor tercero en cuestión ha aplicado adecuadamente las recomendaciones del informe de auditoría anual, se invita al auditor, en la medida de lo posible, a presentar los resultados a la Comisión y a las autoridades nacionales competentes en el plazo de tres meses a partir de la presentación del citado informe.
5. Aspectos procedimentales de los informes de auditoría
Información sobre los auditores
En la introducción del informe de auditoría debe indicarse el nombre del auditor o auditores y, en su caso, de las sociedades de auditoría asociadas.
Formato
El informe de auditoría debe presentarse en formato electrónico (PDF consultable y no protegido).
Se invita a los auditores a que presenten los informes anuales a la Comisión en inglés, si es posible.
Procedimiento de presentación
El informe de auditoría anual y cualquier posible seguimiento de la auditoría deben presentarse por correo electrónico a SANTE-TT-SW@ec.europa.eu, con el siguiente asunto: «Audit report [Follow-up to the audit report] for [año] - [Nombre del fabricante contratista] - [Nombre del proveedor tercero auditado]».
Transparencia
Con el fin de promover la transparencia y la responsabilización globales del sistema de trazabilidad de los productos del tabaco, la Comisión invita a los fabricantes a que, con carácter voluntario, acuerden con sus respectivos auditores presentar a la Comisión también una versión pública de su informe de auditoría, con exclusión de los datos personales y sensibles desde el punto de vista comercial.
Esa versión pública de los informes de auditoría se publicaría en la página web específica de la Comisión.
(1) Directiva 2014/40/UE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de fabricación, presentación y venta de los productos del tabaco y los productos relacionados y por la que se deroga la Directiva 2001/37/CE (DO L 127 de 29.4.2014, p. 1).
(2) Reglamento de Ejecución (UE) 2018/574 de la Comisión, de 15 de diciembre de 2017, relativo a las normas técnicas para el establecimiento y el funcionamiento de un sistema de trazabilidad para los productos del tabaco (DO L 96 de 16.4.2018, p. 7).
(3) Reglamento Delegado (UE) 2018/573 de la Comisión, de 15 de diciembre de 2017, sobre los elementos clave de los contratos de almacenamiento de datos que deben celebrarse como parte de un sistema de trazabilidad de los productos del tabaco (DO L 96 de 16.4.2018, p. 1).
(4) ISO/IEC 27001:2013. Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos. Los requisitos establecidos en la norma ISO/IEC 27001:2013 son genéricos y aplicables a todas las organizaciones, cualquiera que sea su tipo, tamaño o naturaleza.
ANEXO
Lista de comprobación para las auditorías de los repositorios primarios
| Ámbito | Controles (1) | Directrices normativas | Directrices relativas a las evidencias | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Seguridad organizativa y física | A.6 Organización de la seguridad de la información
A.7 Seguridad relativa a los recursos humanos
A.11 Seguridad física y del entorno
| Sobre A.6 y A.11: El repositorio deberá estar situado físicamente en el territorio de la Unión. Los datos no deberán almacenarse en un tercer país ni transferirse a un tercer país (artículo 15, apartado 8, de la Directiva 2014/40/UE). El repositorio deberá estar protegido mediante procedimientos y sistemas de seguridad que garanticen que solo puedan acceder a él las autoridades competentes de los Estados miembros, la Comisión y los auditores externos. Sobre A.7: El proveedor del repositorio, así como, en su caso, sus subcontratistas, deberán ser independientes y ejercer sus funciones de manera imparcial. Son aplicables los requisitos en materia de independencia jurídica, independencia financiera e inexistencia de conflictos de intereses [artículo 35 del Reglamento de Ejecución (UE) 2018/574]. | Existencia de un organigrama de la organización, descripciones de los puestos de trabajo firmadas por el personal clave y participación en sesiones de formación pertinentes para las funciones respectivas. Lista de nombramientos (responsable central de seguridad informática, delegado de protección de datos, etc.) y descripción de las responsabilidades y tareas de las funciones de seguridad. Pruebas de la asistencia del personal a las actividades de formación (por ejemplo, invitación aceptada, fecha y programa de la actividad, lista de participación firmada durante el taller de sensibilización, etc.). Políticas/procedimientos relativos a la seguridad de los recursos humanos revisados y actualizados periódicamente (registros de ejecución de procedimientos). Implementación básica de medidas de seguridad física y controles del entorno, como cerraduras de puertas y armarios, alarmas antirrobo, alarmas contra incendios, extintores, CCTV, etc. Lista del personal con acceso autorizado y credenciales de autorización. Política documentada relativa a medidas de seguridad física y controles del entorno, en particular una descripción de las instalaciones y los sistemas pertinentes. Inventario detallado con los recursos de hardware utilizados con fines administrativos. | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Seguridad de las operaciones | A.12 Seguridad de las operaciones
| Sobre A.12.3: Todos los componentes y servicios del repositorio deberán disponer de suficientes mecanismos de respaldo [artículo 25, apartado 1, letra i), del Reglamento de Ejecución (UE) 2018/574]. Sobre A.12.4: El repositorio deberá contener una pista completa de auditoría de todas las operaciones que afecten a los datos almacenados y los usuarios que realicen operaciones conexas, incluida la naturaleza de estas y el historial de acceso de los usuarios [artículo 25, apartado 1, letra m), del Reglamento de Ejecución (UE) 2018/574]. Directrices sobre evidencias de eventos y de registros:
| Procedimiento de seguridad del mantenimiento debidamente documentado y aprobado por la alta dirección. Proceso mínimo de mantenimiento de la seguridad claramente definido. Lista de todos los contratos con terceros (2). Requisitos explícitos de seguridad en los contratos con proveedores terceros de productos informáticos, servicios informáticos, procesos empresariales externalizados, servicios de asistencia, etc. Política de seguridad documentada aplicable a contratos con terceros. Comentarios o registros de cambios respecto de la política, documentados. Existencia y mantenimiento de una política y/o procedimiento de apreciación/gestión de riesgos del vendedor. Modificación o cese documentado de relaciones con terceros. Informes procedentes de ejercicios de sensibilización y formación conexos. Sistemas, herramientas y procedimientos para la detección y el análisis de incidentes. Política documentada de detección y análisis de incidentes, que aborde la finalidad, el alcance, las funciones y responsabilidades y la coordinación entre todas las entidades vinculadas, incluidos los clientes. Existencia de informes relativos a la detección y escalada de incidentes de seguridad en el pasado. Documentación actualizada de la política de detección de incidentes y de los procedimientos y sistemas conexos. Inventario de incidentes importantes en el pasado detectados y escalados, incluida toda la información conexa (causa, impacto y orden de las medidas adoptadas). Evidencias de los ejercicios cibernéticos realizados en el pasado, incluidas las fechas en que se llevaron a cabo. | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Control de acceso (usuarios y aplicaciones) | A.9 Control de acceso
A.14 Adquisición, desarrollo y mantenimiento de los sistemas de información
| Sobre A.9: El acceso a las instalaciones de datos, y a los datos almacenados en ellas, deberá limitarse a los Estados miembros, la Comisión Europea y los auditores externos autorizados [artículo 15, apartado 8, de la Directiva 2014/40/UE; artículo 25, apartado 1, letra j), del Reglamento de Ejecución (UE) 2018/574]. | Política de control de acceso, incluida una descripción de las funciones, los grupos, los derechos de acceso y los procedimientos de concesión y revocación del derecho de acceso a los sistemas de información. Definición de una regla relativa a la supresión de las cuentas que ya no se utilicen después de un breve período de tiempo. Matrices relacionadas con el control de acceso (por ejemplo, matriz de control de la segregación de funciones, control de acceso remoto, etc.). Sección de derechos de acceso incluida en la política/los procedimientos de control de acceso. Política de control de acceso que incluya un registro de la correlación entre derechos de acceso y los recursos y/o procesos pertinentes. Cuentas de administración adaptadas y documentadas, con derechos específicos de acceso otorgados al personal pertinente. Gestión documentada del proceso de cuentas de administrador. Registros de actividad de las cuentas de administrador disponibles. Sistemas de información administrativa aislados y segregados del resto de la infraestructura para aumentar la resiliencia. Requisitos de software formalmente documentados para garantizar la compatibilidad. | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Seguridad en las comunicaciones | A.10 Criptografía
A.13 Seguridad en las comunicaciones
| Sobre A.13: El intercambio de datos entre los repositorios primarios y el repositorio secundario y el enrutador deberá tener lugar de conformidad con las especificaciones técnicas establecidas por el proveedor del repositorio secundario [artículo 28, apartado 1, del Reglamento de Ejecución (UE) 2018/574]. Todas las comunicaciones electrónicas deberán llevarse a cabo utilizando medios seguros. Los protocolos de seguridad y las normas de conectividad aplicables deberán basarse en normas abiertas no propietarias [artículo 36, apartado 1, del Reglamento de Ejecución (UE) 2018/574]. | Existencia de procesos criptográficos adecuados. Existencia de salvaguardias para proteger el secreto de las claves (privadas). Existencia y mantenimiento de una política y/o procedimiento de configuración del sistema. Tablas de configuración del sistema. Calendario y plan de los ciclos de revisión de la configuración del sistema. Existencia de pruebas/ejercicios anteriores documentados de sistemas de información críticos. Calendario y plan de las revisiones de la configuración de seguridad. Documentación sobre la implementación de la segregación de la red y el sistema y de los datos. Informes de seguimiento de las redes y sistemas de información críticos. Política documentada relativa a los procedimientos de seguimiento, incluidos requisitos mínimos de seguimiento. Prueba de las herramientas existentes para los sistemas de seguimiento. | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Continuidad de negocio | A.16 Gestión de incidentes de seguridad de la información
A.17 Aspectos de seguridad de la información para la gestión de la continuidad de negocio
A.18 Cumplimiento
| Sobre A.17: Todos los componentes y servicios del repositorio deberán cumplir un tiempo de funcionamiento mensual de al menos el 99,5 % [artículo 25, apartado 1, letra i), del Reglamento de Ejecución (UE) 2018/574]. La portabilidad de los datos deberá garantizarse de conformidad con el diccionario de datos comunes aplicable [artículo 36, apartado 2, del Reglamento de Ejecución (UE) 2018/574]. El proveedor deberá disponer de un plan de retirada aplicable [artículo 19 del Reglamento Delegado (UE) 2018/573]. Sobre A.18.1: Las actividades de tratamiento de datos deberán cumplir lo dispuesto en el Reglamento (UE) 2016/679 (Reglamento general de protección de datos) y atenerse al Acuerdo de Tratamiento de Datos establecido entre el proveedor del repositorio primario y el proveedor del repositorio secundario. | Estrategia de continuidad de negocio documentada formalmente, incluidos los objetivos de tiempo de recuperación para los servicios y procesos clave. Planes de contingencia de los sistemas críticos, incluidos pasos y procedimientos claros para amenazas comunes, desencadenantes de activación, pasos y objetivos de tiempo de recuperación. Registros de las actividades de formación individuales, así como informes posteriores a la actividad. Existencia de medidas para hacer frente a catástrofes (por ejemplo, terremotos, inundaciones o incendios), como centros de conmutación por error automática en otras regiones, copias de seguridad de datos críticos que deben llevarse a cabo en una ubicación remota (diferenciada geográficamente del centro de datos que recoge y procesa los datos), a una distancia suficiente para librarse de cualquier daño causado por una catástrofe en el centro principal, etc. Política/procedimientos documentados formalmente para el despliegue de capacidades de recuperación en caso de catástrofe, incluida una lista de catástrofes naturales o graves que puedan afectar a los servicios, y una lista de las capacidades de recuperación en caso de catástrofe (ya sean internas o proporcionadas por terceros). Registros de las actividades de formación individuales del personal que participa en las operaciones de recuperación en caso de catástrofe. | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| Activos e integridad de los datos | A.8 Gestión de activos
| Sobre A.8.1: Consideración de los activos relacionados con las bases de datos y repositorios (es decir, el sistema de gestión de las bases de datos, los objetos de las bases de datos, el servidor de las bases de datos). Sobre A.8.2: Alta sensibilidad. Los datos contienen información comercial sensible. Los datos se utilizan para investigaciones realizadas por las autoridades nacionales y de la Unión. | Política/procedimientos documentados de gestión de activos, incluidas las funciones, las responsabilidades, los activos y las configuraciones sujetos a la política. Lista de activos críticos gestionados de forma centralizada y de las configuraciones de sistemas críticos gestionados y mantenidos. Gestión de activos de software/hardware documentada formalmente y mantenida. Política/procedimientos actualizados de gestión de activos, comentarios de revisión y/o registros de cambios. |
(1) La numeración de los controles se corresponde con la numeración de la norma ISO/IEC 27001:2013. En caso de divergencia, debe hacerse referencia a la numeración utilizada en el presente documento.
(2) Un tercero es una entidad independiente que participa en el funcionamiento de un servicio sin ser la entidad principal y que tiene un interés menor en la prestación del servicio; por ejemplo, en sentido ascendente (proveedor, vendedor) o descendente (distribuidor, revendedor).